Показано с 1 по 11 из 11.

Странный Xorpix (заявка № 17506)

  1. #1
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    6
    Вес репутации
    39

    Thumbs up Странный Xorpix

    Здравствуйте!
    У меня стоит XP SP2, KAV5 и Outpost Firewall, последним я достаточно часто провожу проверку на наличие SpyWare.
    Последние разы он устойчиво показывал мне наличие в системе трояна типа Xorpix, который сама программа удалить не в состоянии. В качестве адреса предлагается строка в реестре HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg. Удалить ее вручную тоже не получается. При загрузке в Безопасном режиме строка отсутствует. Внешне вирус пока себя ничем не проявляет. Поиск в Сети навел на этот форум. Прочитал Правила, скачал интересную программку AVZ (спасибо Олегу...). Следуя Правилам, прогнал систему через CureIt и затем AVZ. Первая нашла еще один троян, пропущенный остальными. А вот с AVZ произошла незадача. Пункт 8 проверки не пошел. Дойдя до каких-то файлов в \Local Settings\Temporary Internet Files\Content.IE5, AVZ вылетела (самозакрылась). И так несколько раз подряд. Пришлось вручную удалить все временные файлы И-нета из этой папки в корзину (в режиме Очистка диска удаляться автоматически они отказались). После этого проверка AVZ дошла до конца. Напоследок еще раз прогнал систему через Firewall. По ее данным, Xorpix остался на месте... Кому верить? Заранее спасибо за помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    "Пофиксите" в HijackThis
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
    O20 - Winlogon Notify: crypt32chain- - C:\WINDOWS\
    O20 - Winlogon Notify: cryptnet- - C:\WINDOWS\
    O20 - Winlogon Notify: cscdll- - C:\WINDOWS\
    O20 - Winlogon Notify: igfxcui- - C:\WINDOWS\
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O20 - Winlogon Notify: reset5- - C:\WINDOWS\
    O20 - Winlogon Notify: ScCertProp- - C:\WINDOWS\
    O20 - Winlogon Notify: Schedule- - C:\WINDOWS\
    O20 - Winlogon Notify: sclgntfy- - C:\WINDOWS\
    O20 - Winlogon Notify: SensLogn- - C:\WINDOWS\
    O20 - Winlogon Notify: termsrv- - C:\WINDOWS\
    O20 - Winlogon Notify: wlballoon- - C:\WINDOWS\
    O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
    Обновите КАВ до 7-й версии.

  4. #3
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    6
    Вес репутации
    39
    Пофиксил...
    Все убралось, кроме строки:
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS
    Как видно из прилагаемого лога. Пытался несколько раз, но строка стоит, как влитая. Т.е., с чего началось, тем и закончилось. Увы!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Отключите восстановление системы.
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
    DelWinlogonNotifyByKeyName( 'partnershipreg');
    BC_DeleteSvc('Reset 5');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    6
    Вес репутации
    39
    Большое спасибо за помощь, но!..
    /Отключите восстановление системы.
    Отключил.
    /Выполните скрипт в AVZ:
    Выполнил. Без толку. И один раз, и два, и в обычном режиме, и в безопасном...
    /Посмотрите, нужно ли вам что-либо из этого:
    ....
    /Лишнее отключим.
    Может быть и можно что-нибудь отключить. Только вот как? Я, честно говоря, в таких тонкостях разбираюсь не очень. Посоветуйте!
    Не знаю что скрывается за этим: (см. ниже). Остальное я бы отключил по своей инициативе.
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    Спасибо!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Ненужные сервисы можно отключить скриптом:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Добавлено через 1 минуту

    А вот непотопляемая строчка - странно. Вы умеется пользоваться regedit'ом?
    Последний раз редактировалось Bratez; 07.02.2008 в 11:59. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    6
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение

    А вот непотопляемая строчка - странно. Вы умеется пользоваться regedit'ом?
    На начальном уровне. Просканировать реестр, найти нужную строчку, удалить... Наверное, не более. Но не удаляется ведь строка! Пишет, что невозможно удалить.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    С помощью regedit найдите ключ:
    HKEY_LOCAL_MACHINE\
    Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg
    и попытайтесь его удалить.
    Если не получится, в его контекстном меню выберите "Разрешения..." и проверьте есть ли доступ для вашей учетной записи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    6
    Вес репутации
    39
    Ни полного доступа, ни чтения, ни особых разрешений. Все неактивировано (серые квадратики). Попытки изменить владельца (даже на администратора) приводят к "отказано в доступе".
    Перезагрузился в Безопасном режиме, вошел, как Администратор. Без разницы. Строка не удаляется. И Владельца поменять не могу. Не дает доступа.
    Последний раз редактировалось igorr; 07.02.2008 в 12:52.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1294
    А включить наследование прав от контейнера? Либо на самом ключе, либо в разрешениях для Notify поставить птицу "Сбросить разрешения для всех дочерних объектов..."

  12. #11
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    6
    Вес репутации
    39
    Спасибо! Помогло. Удалил весь раздел partnershipreg

  • Уважаемый(ая) igorr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32_TrojanProxy.Xorpix & TrojanDownloader.Wigon
      От Cr00t в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 04:01
    2. Trojan-Proxy.Win32.Xorpix.ar
      От Romeo4755 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:43
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 02:01
    4. Win32:Xorpix-U
      От Марк в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.12.2006, 12:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00781 seconds with 17 queries